Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1592) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа очистка невозможна

[ Закрыто ] Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1592) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа очистка невозможна

Сообщений: 4

Баллов: 2

Регистрация: 05.04.2012

Размещено 05.04.2012 21:29:08

Прикрепляю образ

Прикрепленные файлы

ZAZNOBA-BOOK_2012-04-05_21-19-39.7z (271.44 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.04.2012 22:14:46

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\SPOOHH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\43L6GNOEFVW.EXE bl 0B73A87E55BEDC806110285B46E8500D 179712 addsgn A7679B19B92AF5AA0BD4AED964CBA280CD8E23097679DB7CD62BF054AF29194C6B4CD23D1C3F39A1C293849FC5D245ACFE27FF0759D97046849F7FF138F9A1B7 8 Carb.394 delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE delall %SystemDrive%\USERS\SPOOHH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\43L6GNOEFVW.EXE chklst delvir deltmp delnfr czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\SPOOHH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\43L6GNOEFVW.EXE
bl 0B73A87E55BEDC806110285B46E8500D 179712
addsgn A7679B19B92AF5AA0BD4AED964CBA280CD8E23097679DB7CD62BF054AF29194C6B4CD23D1C3F39A1C293849FC5D245ACFE27FF0759D97046849F7FF138F9A1B7 8 Carb.394

delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
delall %SystemDrive%\USERS\SPOOHH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\43L6GNOEFVW.EXE
chklst
delvir
deltmp
delnfr
czoo
restart

Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Сообщений: 4

Баллов: 2

Регистрация: 05.04.2012

Размещено 06.04.2012 02:07:20

лог из Malwarebytes

Прикрепленные файлы

mbam-log-2012-04-06 (02-02-28).txt (2.82 КБ)

Сообщений: 17969

Баллов: 14375

Регистрация: 16.03.2010

Размещено 06.04.2012 05:43:35

удалите все найденное в мбам,
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]